Több mint 92000 D-Link NAS sebezhető, javítás nem fog érkezni

Egy fenyegetéskutató egy új, tetszőleges parancsinjekciós és hard coded backdoor hibát hozott nyilvánosságra a D-Link Network Attached Storage (NAS) több, lejárt támogatottságú (EoL) eszközmodelljében.

A hibát felfedező kutató, Netsecfish elmagyarázza, hogy a probléma a /cgi-bin/nas_sharing.cgi szkriptben található, és a HTTP GET Request Handler komponensét érinti.

A CVE-2024-3273 néven nyomon követett hiba két fő oka egyrészt egy hard coded fiókon (felhasználónév: “messagebus” és üres jelszó) keresztüli backdoor, másrészt a “system” paraméteren keresztüli parancsinjekciós probléma. Ha ezeket összekapcsolják, bármely támadó távolról is képes parancsokat végrehajtani az eszközön.

A sebezhetőség sikeres kihasználása lehetővé teheti a támadó számára, hogy tetszőleges parancsokat hajtson végre a rendszeren, ami potenciálisan érzékeny információkhoz való jogosulatlan hozzáféréshez, a rendszer konfigurációinak módosításához vagy szolgáltatásmegtagadási állapotokhoz vezethet.

Netsecfish szerint a hálózati vizsgálatok szerint több mint 92000 sebezhető D-Link NAS eszköz elérhető az interneten, és ezeken a hibákon keresztül támadható.

A CVE-2024-3273 által érintett készülékmodellek a következők:

  • DNS-320L 1.11-es verzió, 1.03.0904.2013-as verzió, 1.01.0702.2013-as verzió
  • DNS-325 1.01-es verzió
  • DNS-327L 1.09-es verzió, 1.00.0409.2013-as verzió
  • DNS-340L 1.08 verzió

A gyártó közleménye szerint ezek a NAS eszközök elérték az életciklus végét (EoL), és már nem támogatják őket.

A gyártó biztonsági közleményt tett közzé, amelyben felhívja a figyelmet a hibára és arra, hogy azonnal vonják ki vagy cseréljék le ezeket az eszközöket.

A D-Link létrehozott egy külön támogatási oldalt a régebbi készülékek számára, ahol a tulajdonosok archívumokban navigálva megtalálhatják a legújabb biztonsági és firmware-frissítéseket. Azok, akik ragaszkodnak az elavult hardverek használatához, legalább a legújabb elérhető frissítéseket alkalmazzák, még akkor is, ha azok nem kezelik az olyan újonnan felfedezett sérülékenységeket, mint a CVE-2024-3273.

(bleepingcomputer.com)